Uma nova campanha de phishing do Emotet está direcionada aos contribuintes dos EUA, com alegações de que são formulários fiscais W-9 enviados pelo Internal Revenue Service e empresas com as quais você trabalha.
Emotet é uma infecção de malware notória distribuída por e-mails de phishing que, no passado, continham documentos do Microsoft Word e Excel com macros maliciosas que instalavam o malware.
No entanto, depois que a Microsoft começou a bloquear macros por padrão em documentos do Office baixados, o Emotet passou a usar arquivos do Microsoft OneNote com scripts incorporados para instalar o malware do Emotet.
Uma vez instalado, o malware do Emotet roubará os e-mails das vítimas para usá-los em futuros ataques de cadeia de respostas, enviará mais e-mails de spam e, por fim, instalará outros malwares que fornecerão acesso inicial a outros atores ameaçadores, como gangues de ransomware.
As operações de malware do Emotet geralmente usam campanhas de phishing temáticas para coincidir com feriados e atividades empresariais anuais, como a atual temporada de impostos dos EUA.
Em novas campanhas de phishing vistas pelos pesquisadores de segurança da Malwarebytes e da Palo Alto Networks Unit42, o malware Emotet direciona usuários com e-mails contendo anexos falsos de formulários fiscais W-9.
Na campanha vista pela Malwarebytes, os atores ameaçadores enviam e-mails com o título 'IRS Tax Forms W-9', enquanto se passam por um 'Inspetor' do Internal Revenue Service.
Esses e-mails de phishing contêm um arquivo ZIP chamado 'W-9 form.zip' que contém um documento do Word malicioso.
Este documento do Word foi inflado para mais de 500 MB para dificultar a detecção por software de segurança como malicioso.
No entanto, agora que a Microsoft está bloqueando macros por padrão, é menos provável que os usuários se incomodem em habilitar as macros e se infectar usando documentos do Word maliciosos.
Em uma campanha de phishing vista por Brad Duncan da Unit42, os atores ameaçadores contornam essas restrições usando documentos do Microsoft OneNote com arquivos VBScript incorporados que instalam o malware Emotet.
Esta campanha de phishing usa e-mails de cadeia de respostas que fingem ser de parceiros comerciais enviando formulários W-9, como mostrado abaixo.
Os documentos do OneNote anexados fingirão estar protegidos e solicitarão que você clique duas vezes no botão 'Visualizar' para ver o documento corretamente.
No entanto, escondido sob esse botão Visualizar está um documento VBScript que será lançado em vez disso.
Ao lançar o arquivo VBScript incorporado, o Microsoft OneNote avisará o usuário de que o arquivo pode ser malicioso.
Infelizmente, a história nos mostrou que muitos usuários ignoram esses avisos e simplesmente permitem que os arquivos sejam executados.
Uma vez executado, o VBScript baixará o DLL do Emotet e o executará usando o regsvr32.exe.
O malware agora será executado silenciosamente em segundo plano, roubando e-mails, contatos e esperando por outros payloads para serem instalados no dispositivo.
Se você receber qualquer e-mail alegando ser um formulário W-9 ou outro formulário fiscal, primeiro verifique os documentos com o software antivírus local.
No entanto, devido à natureza sensível desses formulários, não é sugerido que você os carregue em serviços de verificação baseados em nuvem, como o VirusTotal.
Normalmente, os formulários fiscais são distribuídos como documentos em PDF e não como anexos do Word, portanto, se receber um, evite abri-lo e habilitar macros.
Finalmente, é improvável que formulários fiscais sejam enviados como documentos do OneNote, portanto, exclua imediatamente o e-mail e não o abra se receber um.
Como sempre, a melhor linha de defesa é descartar qualquer e-mail de pessoas que você não conhece e, se as conhece, entre em contato com elas por telefone primeiro para confirmar se enviaram a mensagem.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...